可擴(kuò)展的密鑰管理
SQL Server 2008中一項(xiàng)最重要的新功能是可擴(kuò)展的密鑰管理EKM,Extensible Key Management�,它使用Microsoft Cryptographic API,MSCAPI在SQL Server 2008環(huán)境的外部生成和存儲(chǔ)用于數(shù)據(jù)和密鑰加密的加密密鑰。這通常通過使用HSM,Harware Security Model�,硬件安全模塊實(shí)現(xiàn),HSM供應(yīng)商可創(chuàng)建一個(gè)與MSCAPI連接的提供程序�����,提供一部分HSM功能給SQL Server 2008和其他利用MSCAPI的應(yīng)用程序,遺憾的是�,由于MSCAPI用作HSM與SQL Server之間的中間層,它無法將HSM的所有功能提供給SQL Server����。
為了使用EKM,必須首先在服務(wù)器上啟用它��。它默認(rèn)是關(guān)閉的����,但可通過sp_configure命令打開�。由于啟用EKM是高級(jí)功能,因此必須制定shwo advanced配置��,下面的實(shí)例展示了如何為服務(wù)器打開EKM:
- sp_configure 'show advanced',1; GO
- RECONFIGURE
- GO sp_configure 'EKM provider enabled',1; GO
- RECONFIGURE
- GO
在啟用了EKM后�����,現(xiàn)在可以在HSM模塊����、智能卡或USB設(shè)備上存儲(chǔ)加密密鑰���。不管何時(shí)使用存儲(chǔ)在這些設(shè)備上的密鑰加密數(shù)據(jù),要解密數(shù)據(jù)�����,必須連接上這些設(shè)備��。這顆防止未授權(quán)的用戶將數(shù)據(jù)庫文件復(fù)制并放至欺騙性服務(wù)器��,從而訪問所有秘密數(shù)據(jù)�。
對(duì)稱密鑰
如前所述,對(duì)稱密鑰提供了一個(gè)用于加密大量數(shù)據(jù)的有效模型��。使用同樣的密鑰來加密和解密可以把資源開銷降低到最低�,生成對(duì)稱密鑰的語法:
- CREATE SYMMETRIC KEY name [AUTHORIZATION owner] [FROM PROVIDER] providername WITH options ENCRYPTION BY mechanism
下面的例子創(chuàng)建了一個(gè)名為SalesKey1的新的對(duì)稱密鑰,該密鑰使用的是192為的3DES(3KEY)算法:
- USE AdventureWorks2008 GO
-
- CREATE SYMMETRIC KEY SalesKey1
- WITH ALGORITHM=TRIPLE_DES_3KEY,
- KEY_SOURCE='The quick brown fox jumped over the lazy dog',
- IDENTITY_VALUE='FoxAndHound'
- ENCRYPTION BY PASSWORD='9348hsxasnA@B'; GO
可以使用ALTER SYMMETRIC KEY語句添加或刪除用于加密密鑰的方法�����,也可以使用DROP SYMMETRIC KEY語句刪除對(duì)稱密鑰�。在這個(gè)例子里,使用之前在數(shù)據(jù)庫用戶中創(chuàng)建的SalesCert證書來加密對(duì)稱密鑰��,然后刪除前例中的密碼加密
-
- OPEN SYMMETRIC KEY SalesKey1 DECRYPTION BY PASSWORD='9348hsxasnA@B'
-
- ALTER SYMMETRIC KEY SalesKey1 ADD ENCRYPTION BY CERTIFICATE SalesCert
- LATER SYMMETRIC KEY SalesKey1 DROP ENCRYPTION BY PASSWORD='9348hsxasnA@B'
-
- CLOSE SYMMETRIC KEY SalesKey1
